Un logiciel espion s'attaque aux sauvegardes WhatsApp
Les chercheurs d'ESET ont identifié une version mise à jour du logiciel espion GravityRAT pour Android distribué sous le nom d'applications de messagerie BingeChat et Chatico.
GravityRAT est un outil d'accès à distance précédemment utilisé dans des attaques ciblées contre des utilisateurs en Inde. Des versions Windows, Android et macOS sont disponibles. L'acteur malveillant à l'origine de GravityRAT reste inconnu ; ESET Research suit le groupe connu sous le nom de SpaceCobra. Très probablement active depuis août 2022, la campagne BingeChat est toujours en cours. Dans la campagne nouvellement découverte, GravityRAT peut exfiltrer les sauvegardes WhatsApp et recevoir des commandes pour supprimer des fichiers. Les applications malveillantes permettent tout de même d'accéder aux discussions basées sur l'application open source OMEMO Instant Messenger.
Tout comme dans les campagnes SpaceCobra précédemment documentées, la campagne Chatico ciblait un utilisateur en Inde. L'application BingeChat est distribuée via un site Web qui nécessite une inscription, probablement ouverte uniquement lorsque les attaquants s'attendent à ce que des victimes spécifiques visitent, éventuellement avec une adresse IP particulière, une géolocalisation, une URL personnalisée ou dans un délai spécifique. Dans tous les cas, la campagne est très ciblée.
ESET Research ne sait pas comment les victimes potentielles ont été attirées vers le site Web malveillant. Le téléchargement de l'application est conditionné à la création d'un compte et que l'enregistrement d'un nouveau compte n'a pas été possible pendant l'enquête, ESET suppose que les victimes potentielles ont été spécifiquement ciblées.
Le groupe derrière les logiciels malveillants est inconnu, même si les chercheurs de Facebook attribuent GravityRAT à un groupe basé au Pakistan, comme précédemment spéculé par Cisco Talos. ESET suit le groupe sous le nom de SpaceCobra et attribue les campagnes BingeChat et Chatico à ce groupe.
L'application conserve son utilisation initiale et légitime, elle fournit des options pour créer un compte et se connecter au réseau OMEMO. Avant que l'utilisateur ne se connecte à l'application, GravityRAT commence à interagir avec son serveur C & C, en exfiltrant les données de l'utilisateur de l'appareil. GravityRAT est capable d'exfiltrer les journaux d'appels, la liste de contacts, les messages SMS, l'emplacement de l'appareil, les informations de base de l'appareil et des fichiers avec des extensions spécifiques tels que images, photos et documents. Cette version de GravityRAT a deux mises à jour par rapport aux versions précédentes connues : exfiltrer les sauvegardes WhatsApp et recevoir des commandes pour supprimer des fichiers.